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Beschreibung 

Verfahren und Vorrichtung zur Erhohung der Betriebssicherheit 
einer elektrischen Komponente 

Die vorliegende Erfindung betrifft ein Verfahren zur Erhohung 
der Betriebssicherheit einer oder mehrerer elektrischer Kom- 
ponenten, insbesondere elektrischer Komponenten in einem 
Fahrzeug, gemaft dem Oberbegriff von Anspruch 1 und eine dem- 
entsprechend ausgebildete Vorrichtung nach dem Oberbegriff 
von Anspruch 6. 

Unter dem Begriff der elektrischen Komponenten sollen im Rah- 
man der vorliegenden Erfindung auch elektronische Komponenten 
verstanden werden. Elektrische Schut zvorrichtungen zur Erho- 
hung der Betriebssicherheit elektrischer Komponenten sind 
seit langem bekannt. Allen benannten Bauformen von elektri- 
schen Schut zvorrichtungen ist jedoch gemeinsam, dass sie z.B. 
als Schmelzsicherungen auch in der Form von Chip- oder Mikro- 
sicherungen zum Schutz von Leistungsversorgungs- und Kon- 
trollf unktionen durch einen jeweils beanspruchten Bauraum zu- 
nehmend schwerer in Schaltungen integrierbar sind. 

Eine besonders gravierende Situation tritt innerhalb einer 
Fahrzeug-Elektronik oder einer Fahrzeug-Controllereinheit 
auf . Hierauf wird nachfolgend exemplarisch im Detail einge- 
gangen. Im Kraf tf ahrzeugbereich werden hohe Anf orderungen an 
die Sicherheit von Fahrgasten und Fahr zeugf iihren gestellt. 
Der Umfang von elektrisch abzusichernden Leistungsf unktionen 
wird so insbesondere in Personenkraf t f ahrzeugen in naher Zu- 
kunft insgesamt weiterhin stark anwachsen, und damit auch die 
Anzahl von Fahr zeug-Controllereinheiten . Ein jeweils vorhan- 
dener Platz fur derartige Einheiten ist jedoch stark be- 
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grenzt. So verursacht eine Integration von elektrischen 
SchutzmaJinahmen in Controllereinheiten im Hinblick auf eine 
jeweilige Platzierung und einen jeweiligen Raumbedarf schon 
heute grofSe Probleme . 

5 

Jenseits eines einfachen Uberlastungsschutzes ^ also eines 
Schutzes gegen zu hohe Strome, Spannungen, Temperaturen etc. 
sind Schutzvorrichtungen noch wesentlich komplexer. Auch in 
ihrer Realisation sind derartige Schutzvorrichtungen aufwen- 
10 diger, als z.B. eine Schmelzsicherung . Diese Schut zvorrich- 
tungen werden ublicher Weise als Mikrocontrollerschaltungen 
'il^? ^^sgefuhrt, deren Aufgabe auch in der Uberwachung der Funkti- 
on angeschlossener oder zu schaltender Lasten liegt. So stel- 
len beispielsweise die Motoren einer Zentralverriegelungsvor- 
15 richtung innerhalb eines Kraf tf ahr zeugs Lasten dar, die in 
der Applikation als niederohmige Lasten bei vergleichsweise 
hohen Stromen nur sehr kurzzeitig betatigt werden, in der Re- 
gel nur ca. 400ms lang, Diese kurze Ansteuerungszeit reicht 
aus, urn die Zentralverriegelung eines Fahr zeugs in den ge- 
.20 wiinschten Zustand zu bringen, Aufgrund der kurzen Ansteuer- 
zeit konnen die Querschnitte der Leitungen, die elektrischen 
( Komponenten, deren Auslegung und Dimensionierung bzw. allge- 

mem gesprochen der Aufwand fur eine Verlustwarmeableitung 
eines hohen Stromf lusses dennoch gering gehalten werden. 


.1 
25 


30 


Bei bekannten und vorverof f entlichten Sicherheitsvorrichtun- 
gen der Anmelderin erfolgt die Diagnose einer jeweils zu 
schaltenden Hochstromlast oder eines sicherheitsrelevanten 
Verbrauchers entweder vor dem Einschalten der Last oder un- 
mittelbar nach Aktivierung des entsprechenden Ausgangs an ei- 
nem Controller. Dabei ist der Controller im Wesentlichen auch 
nur wahrend der Zeitspanne aktiv geschaltet, in der die je- 
weilige Last anzusteuern ist. Ein zeitlich zwischen den ge- 
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nannten Zeitpunkten auf tretendes Fehlverhalten kann dadurch 
prinzipiell nicht detektiert warden. Eine une'rkannte Storung 
kann somit zu sicherheitskritischen Betriebszustanden fuhren 
und z-B- einen Kabelbrand im Fahrzeug hervorrufen, oder aber 
eine unerwunschte und unkontrollierte Aktivierung sicher- 
heitsrelevanter Stellglieder bewirken. 

Aufgabe der vorliegenden Erfindung ist es, eine verbesserte 
Vorrichtung und ein Verfahren zur Erhohung der Betriebssi- 
cherheit einer oder mehrerer elektrischer Komponenten unter 
Berticksichtigung der vorstehend genannten Art von Fehlerme- 
chanismen zu schaffen. 

Diese Aufgabe wird erf indungsgemaii durch ein Verfahren mit 
den Merkmalen von Anspruch 1 sowie durch ein System als Vor- 
richtung mit den Merkmalen von Anspruch 6 gelost. 

Eine Vorrichtung zur Erhohung der Betriebssicherheit elektri- 
scher Komponenten als Last weist demnach erf indungsgemaii De- 
tektionsmittel zum aktiven Detektieren einer Schalt zustands- 
anderung einer jeweiligen Last auf, die unabhangig von einem 
Zeitpunkt einer aktiven Ansteuerung eines Mikrocontrollers 
auf den Mikrocontroller und/oder eine ubergeordnete Kontroll- 
einheit einwirken . 

In einer Weiterbildung der Erfindung wird eine Diagnoseruck- 
fuhrung auf einen „wake up^'-fahigen Interrupt-Eingang gelegt, 
vorzugsweise einen Interrupt des Mikrocontrollers als Kon- 
trollorgan. In einer Ausf uhrungsf orm der Erfindung wird zur 
Diagnoseruckfuhrung ein Eingang fur einen nicht ausblendbaren 
bzw. non maskable Interrupt als Diagnose-Rucklese-Port be- 
nutzt. Alternativ werden Ruckmeldungen uber eine Zustandsan- 
derung uber einen Bus an eine ubergeordnete Kontroll-Instanz 
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versandt. Als verbreiteten Bus-Standard bietet sich bei 
Kraf tfahrzeugen der CAN-Bus mit der Moglichkeit einer Priori 
sierung bestimmter Meldungen an. 

Ferner wird vorteilhaf terweise eine Diagnose durchgef iihrt . 
Dabei wird festgestellt, ob der vorliegende Fehler durch den 
Mi krocont roller alleine iiberhaupt behoben werden kann, Im 
Fall eines gravierenden Fehlers ohne Korrekturmoglichkeit 
durch den Mikrocontroller wird eine Abschaltung oder eine an 
dere Mafinahme zur Abhilfe durch eine dem Mikrocontroller ii- 
bergeordnete Instanz vorgenomraen . 

Weitere vorteilhafte Ausgestaltungen sind Gegenstand der je- 
weiligen Unteranspruche . 


Die vorliegende Erfindung wird nachfolgend zur Darstellung 
weiterer Merkmale und Vorteile unter Bezugnahme auf die bei- 
gefugte Zeichnung anhand bevorzugter Ausf uhrungsbeispiele in 
schematischer Darstellung naher erlautert. Es zeigen: 

Figur 1: eine Prinzipskizze eines erf indungsgemalien Schalt- 
kreises; 

Figur 2: eine Darstellung eines Zeitverhaltens im Storungs- 
fall; 

Figur 3: eine Darstellung eines erweiterten Schaltkreises 
mit einer nicht aktiv behebbaren Storung; 

Figur 4: eine Prinzipskizze eines Schaltkreises nach dem 
Stand der Technik und 
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Figur 5: eine Darstellung eines Zeitverhaltens des Schalt- 
kreises nach Figur 4 in einem Storungsf all . 


5 Ein Schaltkreis 1 nach dem Stand der Technik umfasst als 
steuerndes Element einen Mikrocontroller jiC, der durch ein 
Steuersignal Icrti eine Last iiber einen Leistungsverstarker 
Oder Schalter L ansteuert, siehe Figur 4. Die Last, hier ein 
Motor M, erhalt ein Ansteuersignal lact- Dieses Ansteuersignal 
10 lact wird hier uber einen Spannungsteiler als Diagnosesignal 
^ Diag teilweise an den Mikrocontroller pC zuriickgef uhrt . Hier- 

mk^ durch wird bestatigt, dass das Steuersignal Icrti auch durch 
das Ansteuersignal lact zum Einschalten des Motors M korrekt 
umgesetzt worden ist. 

15 

Eine seiche Schaltung 1 wird bekannter Weise in Kraf t f ahrzeu- 
gen zur Ansteuerung und Kontrolle von Motoren M einer Zent- 
ralverriegelungsvorrichtung eingesetzt. Die Motoren M stellen 
hierbei eine niederohmige Last dar, die mit hohen Stromen nur 

20 kurzzeitig angesteuert werden. Die kurze Ansteuerzeit von 

z.B. 400ms reicht jedoch aus, um die Zentralverriegelung ei- 
nes Fahrzeugs in den gewiinschten Zustand zu bringen. Aufgrund 
der kurzen Ansteuerzeit konnen die Querschnitte der Leitungen 
und die elektrischen Komponenten in ihrem gesamten Dimensio- 

25 nierung im Hinblick auf eine Ableitung von Verlustwarme ge- 
ring gehalten werden, obgleich in einem aktiven Zustand der 
Schaltung relativ hohe Strome fliefien. 

Eine Diagnose eines Motors M als zu schaltender ^,Hochstrom- 
30 last^^ erfolgt durch den Mikrocontroller \iC in einem Zeitfens- 
ter, das in der Abbildung von Figur 5 strich-punkt iert umran- 
det ist. Die Diagramme von Figur 5 stellen den zeitlichen 
Signalverlauf in dem Mikrocontroller ]iC anhand eines hin- 
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durchf lieftenden Stromes I und den Verlauf des Ansteuersignals 
lact dar, das an der Last M anliegt. 

Der Signalverlauf in dem Mikrocontroller \iC zeigt, dass gene- 
5 rell Perioden T^crun mit aktivem Mikrocontroller \iC von Zeit- 
abschnitten zu unterscheiden sind, in denen der Mikrocontrol- 
ler ]aC in einen Ruhemodus geschaltet ist- Perioden im Ruhemo- 
dus sind mit T^cstop gekennzeichnet . Demnach erfolgt eine Diag- 
nose des Motors M im vorliegenden Fall zu einem Zeitpunkt ti 

10 vor dem Einschalten der Last M und zu einem Zeitpunkt tz un- 
^ mittelbar nach Aktivierung des entsprechenden Ausgangs am 

Controller pC. In beiden Fallen muss der Mikrocontroller pC 
aktiv geschaltet bzw. eingeschaltet sein. Alternativ kann 
auch einer dieser Diagnosezustande wenigstens nach dem Stand 

15 der Technik als ausreichend erachtet werden. - Diese Moglich- 
keiten werden hier nicht welter verfolgt. 

Durch nicht welter dargestellte Steuersignale Icrti wird nun 
bei eingeschaltetem Mikrocontroller ]iC die Last M selber kon- 

20 trolliert und geregelt fur eine Zeitspanne Ta aktiv geschal- 
tet. Es schlielit sich an diese Aktivphase Ta von 400ms bei 
dem Antriebsmotor M einer Zentralverriegelungseinrichtung ei- 
ne Ruhephase Ti mit deaktivierter Last M an. In der Ruhephase 
Ti ist der Mikrocontroller pC selber auch abgeschaltet , wie 

25 durch den Abschnitt T^cstop in dem Diagramm von Figur 5 mit dem 
geringen Stromfluss durch den Mikrocontroller pC gekennzeich- 
net ist. 

Zu einem Zeitpunkt ts verursacht nun eine aufiere Storung S 
30 ein unerwiinschtes Aktivieren der Last M uber einen Zeitraum 
Ta*. Hier wird diese Storung S als magnetischer Puis in dem 
Steuersignal Icrti angenommen. Diese vergleichsweise schwache 
Storung S wird in der Schaltung nach Figur 4 durch den Leis- 


2002P20781 


7 

tungsverstar ker L verstarkt. Das Storungssignal S ist damit 
von einem erwunschten Steuersignal Icrti nicht zu unterschei- 
den und aktiviert so die Last M. Dieses auf einer relativ 
schwachen magnetischen Storung S basierende Fehlverhalten 
5 liegt zeitlich nicht zwischen den Zeitpunkten ti und t2 in 

einem Zeitrauiu T^cstopr in dem der Mikrocontroller ]iC als Kon- 
trollorgan selber auch abgeschaltet ist. Damit kann dieses 
Fehlverhalten nicht detektiert werden. 

10 Das kann zu einem sicherheitskritischen Zustand in.dem Fahr- 
zeug ftihren: Die Last M wird nun dauerhaft mit einem hohen 

/i^^ Strom beauf schlagt . Hierdurch geht viel elektrische Energie 
verloren. Andererseits ist die gesamte Elektrik eines Kraft- 
fahrzeugs hinsichtlich der Abfuhr von Verlustwarme nicht auf 

15 eine derartige Dauerbelastung ausgelegt. Nach Uberschreiten 
einer Zeitspanne Atd ist daher mit einer dauerhaften Bescha- 
digung einer oder mehrerer elektrischer und elektronischer 
Einrichtungen zu rechnen. Diese Beschadigung ist durch den 
Blitz in Figur 5 angedeutet . Aber auch grofiere Schaden, wie 

20 z.B. ein Kabelbrand im Fahrzeug oder eine Aktivierung weite- 
rer sicherheitsrelevanter Stellglieder , sind nicht auszu- 
schlieften . 

Auch von der Einbruchs- und Diebstahlssicherheit her betrach- 
25 tet ist dieser Zustand unzuf riedenstellend: Ein Kontrollsys- 
tem eines sicherheitsrelevanten Verbrauchers, wie hier die 
Ansteuerung eines Motors M einer Zentralverriegelung, kann 
mittels eines magnetischen Storimpulses von ca. 400ms Dauer 
sehr effektiv ausgeschaltet werden. Das Fahrzeug ware damit 
30 durch aufi>ere Manipulation z.B. an mindestens einer Tur geoff- 
net worden. Zudem konnte eine derartige Manipulation auch 
zerstorungsf rei vorgenommen werden, so dass sie insbesondere 
versicherungstechnisch nicht nachweisbar sein konnte. 
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Bisher wurde die vorstehende Art von Fehlermechanismen nicht 
betrachtet- Folglich werden derartige Storungen durch bekann- 
te Sicherheitsvorrichtungen auch nicht abgedeckt. Elektrische 
Sicherheitsanforderungen und ein verbesserter Manipulations- 
schutz an einem Fahrzeug fordern hier Abhilfe. 

Die Diagnose der geschalteten Hochstrom- und/oder sicher- 
heitsrelevanten Lasten M wird nachfolgend durch eine aktive 
Detektion einer Schalt zustandsanderung einer jeweiligen Last 
M erweitert. Dabei erfolgt diese Diagnose unabhangig von ei- 
(^'^ nam Zeitpunkt einer aktiven Ansteuerung der Last M durch den 
Mikrocontroller pC . Die Last M kann aber zusatzlich auch wei- 
terhin unmittelbar vor dem Einschalten und/oder unmittelbar 
15 nach dem Einschalten diagnostiziert werden, worauf hier aber 
nicht weiter eingegangen werden soil. 

Die Diagnoseruckfuhrung wird auf einen sog. ,,wake up''-fahigen 
Interrupt-Eingang IRQ des Mikrocontrollers ]iC gelegt. Dies 
20 erraoglicht eine aktive Diagnose bei einer Zustandsanderung 
der Last M auch in dem Fall, dass der Controller ]iC sich in 
einem Stopp-Modus oder Power down mode uCstop wahrend einer 
Zeitspanne T^cstop befindet. 

25 Neben den wake up-fahigen Interrupt-Eingangen IRQ an dem 
Controller pC ist ein Ein-/Ausgang I/O fur einen sog. non 
maskable Interrupt, kurz NMI, als Diagnose-Rucklese-Port ge- 
eignet. Die Verwendung des NMI-Interrupt s ist aufierst wir- 
kungsvoll und vorteilhaft, da diese Interrupt-Rout ine soft- 

30 waremaftig nicht maskiert, nicht ausgeblendet oder disabled 

werden kann. Sie wird damit auch trotz moglicherweise vorhan- 
denen sonstigen Prozessorstorungen in jedem Fall ausgefuhrt. 
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Eine erf indungsgemaUe Abwandlung der Prinzipskizze eines 
Schaltkreises 1 nach dem Stand der Technik gemali Figur 4 ist 
in Figur 1 wiedergegeben . Es ist dabei darauf hinzuweisen^ 
dass wake up-fahigen Interrupt-Eingange IRQ und auch Eingange 
5 fur non maskable Interrupts NMI an bekannten Mikrocontrollern 
Oder deren Chip-Familien bereits heute ausgefuhrt und damit 
bei vertretbaren Mehrkosten verfilgbar sind. 

Ein Zeitverhalten der Schaltung nach Figur 1 ist in der Ab- 
10 bildung von Figur 2 wiedergegeben. Die Beschreibung dieses 
Zeitverhaltens wird hier auf einen Storungsfall beschrankt: 
Wahrend sich der Mikrocontroller \iC in einem Stopp Modus oder 
Power down mode uCstop befindet wirkt wiederum zu dem Zeit- 
punkt ts die auBere Storung S als magnetischer Impuls oder 
15 sonstiger Einstreuung auf die Schaltung 1 ein. Wie zu Figur 5 
vorstehend beschrieben wird ohne Vorgabe durch den Mikrocont- 
roller pC die Last M aktiviert. Nur lost diese Anderung des 
Zustandes der Last M im Gegensatz zu Vorrichtungen nach dem 
Stand der Technik jetzt einen Interrupt IRQ aus, der sofort 
20 an den entsprechenden Eingang des Mikrocontrollers ]iC weiter- 
geleitet wird. Innerhalb einer sehr kurzen Zeitspanne Atreg 
von der Auslosung des Interrupts IRQ bis zu dessen Verarbei- 
tung innerhalb des Mikrocontrollers ]iC halt ein Zeitabschnitt 
Ata* mit aktivem Zustand der Last M ohne Kontrolle durch den 
25 Mikrocontroller yC an. Danach ist der Mikrocontroller pC ab 
dem Zeitpunk tw in den aktiven Zustand pCrun geschaltet wor- 
den. Eine neue Periode Tpcrun beginnt, und damit werden von 
nun an die Zustande aller Lasten M uberpriift, die mit diesem 
Mikrocontroller pC verbunden sind. So konnen rasch eine oder 
30 mehrere insbesondere sicherheitsrelevante Lasten M auf ihren 
jeweiligen Schaltzustand uberpruft werden. 
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Eine Zeitspanne, die fiir diese Oberprufung maximal vorgesehen 
ist, ist als At in der Zeichnung von Figur 2 dargestellt. 
Die Zeitspanne At ist in diesem Beispiel geringer als die 
Zeitdauer T^crun/ wahrend derer der Mikrocontroller \jlC mit U- 
berwachungsauf gaben in den aktiven Zustand pCrun geschaltet 
bleibt. Innerhalb der Zeitspanne At kann der Mikrocontroller 
pC zu jedem Zeitpunkt die Last M wieder deaktivieren und da- 
mit die Periode Ta* beenden. Jewells er f orderliche Schaltdau- 
ern von ca . 400 ms zum Schalten einer Zentralverriegelung mit 
Sicherheit werden nicht erreicht, da jede Messung fur eine 
sicherheitsrelevante Last M nur wenige Millisekunden lang an- 
dauert. Insbesondere aber ist die Zeitspanne At geringer als 
die zu Figur 5 beschriebene Auf heizperiode Atd, nach deren 
Ablauf mit einer Beschadigung elektrischer Komponenten durch 
Uberhitzung zu rechnen ist. 

In einer alternativen Ausf ilhrungsf orm der Erfindung greift 
eine Regelung uber Steuerbef ehle nach dem Controller area 
network-Standard ein, kurz CAN. Auf der Basis beispielsweise 
einer Zweidrahtleitung werden nach dem CAN-Standard Steuerbe- 
fehle, sog. CAN-messages , uber ein Datennetz versendet. Gele- 
sen werden diese Steuerbef ehle von alien an diesen Bus ange- 
schlossenen Geraten, ausgewertet hingegen nur von einem je- 
weils adressierten Gerat, Hierbei kann jeweils zusatzlich die 
Bedeutung einer Nachricht durch Wahl einer Prioritatsstuf e 
hervorgehoben werden. Eine hohe Prioritat einer CAN-message, 
die durch die Storung S und diie damit verbundene Zustandsan- 
derung ausgelost wurde, garantiert eine sofortige Reaktion 
des Mikrocontrollers pC nach dessen Einschalten bzw. Errei- 
.chen des Zustandes jaCrun- Mit dem Verstreichen der Verarbei- 
tungszeitspanne Atreg kann damit der Last M also sofort unter 
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Behebung des Fehlerzustandes aus dem Aktivzustand wieder de- 
finiert in den deaktivierten Zustand uberfuhrt werden. 

Es konnen somit also Fehlerzustande schnell erkannt und si- 
cher behoben werden, die durch aufiere elektromagnetische Be- 
einflussung bzw. in Manipulationsabsicht durch hochenergeti- 
sche Impulse ausgelost werden. Neben von auften hervorgeruf e- 
nen Fehlerzustanden konnen in einem Fahrzeug jedoch auch 
Fehlf unktionen auftreten, die durch den Mikrocontroller \iC 
selber nicht mehr aktiv zu beseitigen sind. Als solche Feh- 
lerzustande werden z.B. Fehler in dem Mikrocontroller pC sel- 
ber betrachtet. Sie konnen in der Form durchlegierter Gatter 
Oder Ports in dem Mikrocontroller pC auftreten. Bei einem als 
Mikrocontroller pC verwendeten wiederbeschreibbaren elektro- 
nischen Baustein konnen jedoch aufgrund einer als ^moving 
bits^"" bezeichneten Erscheinung auf Dauer zudem Fehler in sei- 
ner Programmierung auftreten. Im ersten Fall ist der Mikro- 
controller pC selber defekt und kann nur noch ausgetauscht 
werden, im zweiten Fall ist eine Abhilfe durch erneute Pro- 
grammierung moglich. In beiden Fallen kann der Mikrocontrol- 
ler pC jedoch selber die Fehlerzustande nicht mehr beheben. 

Auch Fehler in einer Verkabelung oder einem Kabelbaum an der 
zu schaltenden Last M mit einem Kurzschluss der Last M bei- 
spielsweise von einer Versorgungsspannung +Ubat nach Masse GND 
konnen erkannt, aber nicht durch den Mikrocontroller pC beho- 
ben werden. Hierzu ist in der Abbildung von Figur 3 ein 
Schaltkreis 1 mit einem Steuergerat SG und einem Bordnetz- 
Steuergerat BS zur Ansteuerung eines Motors M dargestellt, 
wobei das Steuergerat dem nicht weiter dargestellten Mikro- 
controller pC ubergeordnet ist. Der Motor M weist hier einen 
Kurzschluss nach Masse als plotzlich auf getretenen Fehlerzu- 
stand auf. Durch die von der Zustandsanderung auf der Basis 
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des Diagnosesignals Diag ausgelosten Diagnose wird dieser 
gravierende Fehlerzustand an der Last M f estgestellt . Es 
steht somit auch fest^ dass dieser Fehler nicht durch den 
Mikrocontroller ]iC behoben werden kann. Nach dieser Klassifi- 
zierung des Fehlers wird durch das Steuergerat SG eine Feh- 
ler-Nachricht liber den Daten-Bus ausgegeben und veranlasst 
das Bordnetzsteuergerat BS als Abhilf emaiinahme die Versor- 
gungsspannung des fehlerhaften Schaltkreises abzuschalten und 
eine Fehleranzeige zu aktivieren. 

Eine zugige und zuverlassige Umsetzung der CAN-message ist 
innerhalb des dargestellten Ausschnitts des Bordnetzes da- 
durch sichergestellt , dass nach dem CAN-Standard Nachrichten 
unterschiedliche Prioritaten eingeraumt werden konnen. Bei 
Fehlerzustanden in sicherheitsrelevanten Teilen kann damit 
eine hohe Prioritat voreingest ellt werden. Dadurch konnen ge- 
zielt Mafinahmen zum Systemschut z eingeleitet werden, hier 
namlich ein Deaktivieren der fehlerhaften Last durch aktive 
Abschaltung des entsprechenden Schaltkreises, da der Mikro- 
controller pC diesen Fehler nicht beheben kann. Im vorliegen- 
den Fall nach Figur 3 lautet der Inhalt der CAN-message mit 
hoher Prioritat somit: „Schalte Stromversorgung des Motors M 
sofort ab.'' Diese Nachricht wird in jedem Fall ausgefuhrt und 
prioritar umgesetzt. Damit werden schnell und effektiv Kabel- 
brande oder Steuergeratabbrand, aber auch eine Entladung der 
Batterie vermieden . 

Insgesamt ist damit vorstehend ein zuverlassiges Verfahren 
zur Erhohung der Betr iebssicherheit elektrischer Komponenten 
realisiert worden, das auf der Basis einer Uberwachung unbe- 
absichtigter Zustandsanderungen von schaltbaren kritischen 
Lasten aufbaut. Auch bei einem erf indungsgemaften Verfahren 
muss der Mikrocontroller oder ein iibergeordnetes Steuergerat 
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nicht permanent in einem aktiv Run-mode betrieben warden. Da 
mit ist eine zusatzliche Sicherheitsf unktion angegeben wor- 
den,, durch deren Umsetzung der Stromverbrauch der steuernden 
Elektronikeinheit im Wesentlichen nicht erhoht wird. Die Be- 
triebssicherheit ist jedoch erheblich gesteigert worden, wah 
rend der apparative Aufwand insgesamt fast gleich geblieben 
ist. Durch die unterschiedliche Codierung uber Interrupts o- 
der uber CAN-messages wird eine Umsetzung sicher durchge- 
f uhrt . 

Durch eine Erweiterung der Auswerte- und Analysef ahigkeiten 
eines Mikrocontrollers pC und/oder eines iibergeordneten Steu 
ergerates SG konnen die diskutierten Anwendungsmoglichkeiten 
auch kumulativ zu bekannten Sicherheitsverf ahren zur Steige- 
rung einer Gesamtsicherheit beispielsweise in einem Fahrzeug 
redundant herangezogen werden. Die Kosten fur zusatzliche 
Hardware sind dabei im Wesentlichen auf einen Mikrocontrol- 
ler-Baustein beschrankt, der jedoch in Sicherheitsvorrichtun 
gen der vorstehend genannten Art als Bauteil an sich bereits 
vorgesehen ist. Eine Nachrustung kann daher auch in Form ei- 
nes Austausches eines Mikrocontrollers als standardisiertes 
elektronisches Bauteil vorgenommen werden, in dem nun zusatz 
lich erf orderliche Hardware zusammengef asst ist. 
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Patentanspriiche 

1. Verfahren zur Erhohung der Betriebssicherheit einer e- 
lektrischen Komponente^ insbesondere von elektrischer 
5 Komponenten in einem Fahrzeug, 

bei dem eine Last (M) uber einen Mikrocontroller (pC) an- 
gesteuert wird, 

dadurch gekennzeichnet, 
dass eine Schalt zustandsanderung einer jeweiligen Last 
10 (M) aktiv detektiert wird, wobei 

eine Diagnose unabhangig von einem Zeitpunkt einer akti- 
ven Ansteuerung der Last (M) durch den Mikrocontroller 
(ViC) und/oder durch eine ubergeordnete Kontrolleinheit 
(SG) erfolgt. 


15 


20 


2. Verfahren nach Anspruch 1, 

dadurch gekennzeichnet,. dass die Di- 
agnoseriickf uhrung auf einen wake up-fahigen Interrupt- 
Eingang (IRQ) des Mikrocontrollers (\jlC) gelegt wird. 


3. Verfahren nach einem der beiden vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass die Di- 
agnoseriickf uhrung auf einen Eingang (I/O) fiir einen non 
maskable Interrupt (NMI) als Diagnose-Rucklese-Port ge- 
25 legt wird. 


4. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass das Ein- 
oder Abschalten einer Last (M) durch ein Bordnetz- 

30 Steuergerat (BS) durchgefiihrt wird, wobei als Last (M) 

vorzugsweise ein Motor einer Zentralverriegelung ange- 
steuert wird. 

5. Verfahren nach einem der vorhergehenden Anspruche, 

35 dadurch gekennzeichnet, dass ^'durch 

ein Diagnosemittel festgestellt wird, ob eine Fehlerzu- 
stand durch den Mikrocontroller (yiC) behoben werden kann. 
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wobei durch eine iibergeordnete Kontrolleinheit (SG) bei 
Versagen des ^4ikrocontroller (pC) Abhilf emalihahmen einge- 
leitet werden. 

6. Vorrichtung 

lektrischen Komponente in einer Schaltung (1), insbeson- 
dere von elektrischer Komponenten in einem Fahrzeug, bei 
der eine Last (M) mit einen Mikrocontroller (pC) zur An- 
steuerung verbunden ist, 

dadurch gekennzeichnet, dass die Vor- 
richtung Mittel zur aktiven Detektion einer Schaltzu- 
standsanderung der Last (M) aufweist^ die unabhangig vom 
Zeitpunkt einer aktiven Ansteuerung (pCrun) eines Mikro- 
controllers (\iC) zum Einwirken auf den Mikrocontroller 
{]iC) und/oder eine iibergeordnete Kontrolleinheit (SG) 
ausgebildet sind. 

7. Vorrichtung nach dem vorhergehenden Anspruch^ 
dadurch gekennzeichnet, dass die Vor- 
richtung zur Umsetzung eines Verfahrens nach einem oder 
mehreren der vorstehenden Anspruche 1 bis 5 ausgebildet 
ist . 

8. Vorrichtung nach einem der beiden vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, dass zum Ein- 
Oder Abschalten der Last (M) nach Vorgabe durch den Mik- 
rocontroller (pC) ein Bordnetz-Steuergerat (BS) vorgese- 
hen ist . 

9- Vorrichtung nach einem der drei vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass die ge- 
geniiber bekannten Systemen zusatzlich erf orderliche Hard- 
ware im Wesentlichen in dem Mikrocontroller (pC) zusam- 
mengefasst ist. 
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10. Vorrichtung nach einem der vorhergehenden Anspruche 6 bis 
9, 

dadurch gekennzeichnet^ dass Diagno- 
semittel zur Feststellung eines Fehlerzustands vorgesehen 
sind, der nicht durch den Mikrocontroller (pC) behoben 
warden kann, und dass diese Diagnosemittel auch uber Ab- 
hilf emalinahmen verf ugen , 
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Zusammenf assung 

Verfahren und Vorrichtung zur Erhohung der Betriebssicherheit 
einer elektrischen Komponente 

Die Diagnose einer geschalteten Hochstrom- bzw. sicherheits- 
relevanten Lasten (M) wird erweitert durch eine aktive Detek- 
tion einer Schaltzustandsanderung der Last (M) unabhangig vom 
Zeitpunkt der aktiven Ansteuerung des Mikrocontrollers (pC) 
und/oder einer vibergeordneten Kontrolleinheit (SG) . 

Die Diagnoservickf iihrung wird vorzugsweise auf einen ,,wake 
up^^-fahigen Interrupt-Eingang des Mikrocontrollers (pC) ge- 
legt- Dies ermoglicht eine aktive Diagnose bei einer Zu- 
standsanderung der Last (M) , auch wenn der Controller (pC) 
sich im Power down mode (pCstop) befindet. 


(Figur 1) 
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Fig. 3 
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Fig. 5 


